Tietoturva nyt!

19.8.2009

Havainnot haittaohjelmien muuttamista WWW-sivustoista lisääntyneet

Havainnot WWW-sivustoihin lisätystä haittaohjelmakoodista ovat lisääntyneet hieman viimeisen muutaman viikon aikana. Haittaohjelmakoodin lisäämiseen sivustolle on käytetty haittaohjelman tallentamia, sivuston ylläpitoon käytettäviä ftp-tunnuksia.

Saamme päivittäin ilmoituksen noin kymmenestä murretusta www-sivustosta, jonka lähdekoodin sekaan on lisätty haittaohjelman lataavaa koodia. Koodi on tyypillisesti joko suora linkki javascriptiin joka lataa haittaohjelman, tai css-tagin avulla piilotettu iframe jonka sisältö on haittaohjelman lataava sivu. Tällöin satunnainen www-sivulla kävijä voi saada tartunnan tietämättään, etenkin jos selainta tai selaimen lisäosia ei ole päivitetty hetkeen.

Kummassakin tapauksessa taustalla on usein haittaohjelman saastuttama tietokone, jolta on käytetty ftp-tunnuksia sivuston ylläpitoon. Haittaohjelma tarkkailee koneelta lähtevää liikennettä ja ottaa talteen ftp-tunnukset, joita käyttämällä muokattu etusivu laitetaan palvelimelle. Tällöin pelkkä sivuston sivujen putsaaminen ja läpikäynti ei riitä suojaamaan vastaavalta tulevaisuudessa, vaan myös sivuston ylläpitoon käytetyn tunnuksen salasana pitää vaihtaa. Tähän tarvitaan usein web-hotellin tai web-palvelimen ylläpitäjän apua.

Paras tapa suojautua haittaohjelmia vastaan on pitää käyttöjärjestelmä, virustorjuntaohjelmisto ja muut asennetut ohjelmat päivitettynä. Selaimen ja käyttöjärjestelmän lisäksi tulee siis huolehtia että Flash-soitin, PDF-lukija ja Java ovat ajan tasalla.